QNAP NAS 勒索病毒 7z加密病毒

這次的加密勒索即使沒有在網路分享器設定 Port Forward 對外也會中標，根據國外網友 jaysona 的分析，可能是來自 QNAP 應用程式本身的漏洞，因爲：

1. QNAP NAS 在被隔離的網路

2. QTS App 只有 QNAP HelpDesk

3. Client 端是一臺執行 LiveCD（代表唯讀）的筆電

HelpDesk 這個 App 會主動建立對外連線，不需要設定 Port Forward，而且即使刪除，重開機就會自動安裝，必須每次重開機就主動刪除。

這就是比較傳統的攻擊：針對系統弱點而不是暴力破解密碼。以前我們比較常對 Linux 攻擊造成核心 Buffer Underflow / Stack Overflow，也是早期在 C 語言常要注意的部分。

===

對於未受到勒索病毒影響的使用者，亦應立即安裝並使用最新版 Malware Remover 進行惡意軟體掃描，變更所有使用者密碼為高強度密碼，並更新 Multimedia Console、Media Streaming Add-on 及 Hybrid Backup Sync 三個 App 至最新版

===

QNAP NAS 最近中了 7z 加密病毒的

1. 不要重新開機；重新開機過可以直接放棄

2. SSH 登入進去

3. 使用以下 command 檢查加密是否進行中；如果不是進行中，可以直接放棄

ps | grep 7z 

4. 如果加密進行中，請輸入以下 command

cd /usr/local/sbin; printf '#!/bin/sh \necho $@\necho $@>>/mnt/HDA_ROOT/7z.log\nsleep 60000' > 7z.sh; chmod +x 7z.sh; mv 7z 7z.bak; mv 7z.sh 7z;

5. 等待10秒，輸入以下 command

cat /mnt/HDA_ROOT/7z.log

得出

a -mx=0 -sdel -pmFyBIvp55M46kSxxxxxYv4EIhx7rlTD [FOLDER PATH]

「mFyBIvp55M46kSxxxxxYv4EIhx7rlTD」就是加密的密碼

6. 重新開機，自行解壓

此加密病毒是透過舊版本套件的漏洞打進來，沒事的記得更新 QTS 及所有 QPKG !!!!

另外的 .encrypt 是撞破 admin 密碼進來，沒事的記得更超長的 Password 或 Disable admin

另外，如果一直被撞密碼，即代表你的 NAS 已經在 Hacker 的眼前，請修改 System Port 及 Disable Web Server Port Forward (沒用Web Server的話)

以上三句適用於所有 NAS 品牌，不要以為不是用 QNAP 就沒事唷！

===

如果想用替換 7z的方法得知惡意加密密碼, 不只不要重開機, 而且還要它正在執行加密動作, 這樣才機會捕捉到它正在加密時的參數; 不關機, 不處理也是等它把資料全加密而已